Come posso caricare e importare un certificato SSL in AWS Identity and Access Management (IAM)?

4 minuti di lettura

Breve descrizione

È consigliabile caricare i certificati SSL su Gestione certificati AWS (ACM). Se utilizzi algoritmi di certificazione e dimensioni delle chiavi che attualmente non sono supportati da ACM o dalle risorse AWS associate, puoi anche caricare un certificato SSL su IAM utilizzando l'interfaccia della linea di comando AWS (AWS CLI).

Prima di poter importare un certificato SSL in IAM:

Il certificato deve essere valido al momento del caricamento. Non puoi caricare un certificato prima dell'inizio del periodo di validità o dopo la scadenza.
Il certificato, la chiave privata e la catena di certificati devono essere codificati in PEM. Per ulteriori informazioni, consulta la sezione Esempio di catena di certificati con codifica PEM in Utilizzo dei certificati del server.

Dopo aver confermato che il certificato soddisfa i criteri, assicurati che la catena di certificati sia nell'ordine corretto, quindi carica il certificato.

Risoluzione

Verifica che la catena di certificati sia nell'ordine corretto

Nota: Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS, assicurati di utilizzare la versione più recente dell'interfaccia della linea di comando AWS.

La catena di certificati deve iniziare con il certificato generato dall'autorità di certificazione (CA) e terminare con il certificato principale della CA.

**Nota:**Se la catena di certificati non è nell'ordine corretto, puoi ricevere il seguente messaggio di errore: "An error occurred (MalformedCertificate) when calling the UploadServerCertificate operation: Unable to validate certificate chain. The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The index within the chain of the non-valid certificate is: -1"

La catena di certificati con codifica PEM deve iniziare con “-----BEGIN CERTIFICATE-----” e terminare con “-----END CERTIFICATE-----”, in modo simile alla seguente:

-----BEGIN CERTIFICATE-----
Base64-encoded Intermediate certificate 2
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
Base64-encoded Intermediate certificate 1
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
Optional: Base64-encoded Root certificate
-----END CERTIFICATE-----

**Nota:**Assicurati che il certificato non contenga spazi iniziali o finali e non contenga un prefisso o un suffisso oltre ai blocchi BEGIN e END.

La chiave con codifica PEM deve utilizzare il seguente formato per evitare il messaggio di errore "MalformedCertificate: Unable to parse private key":

-----BEGIN RSA PRIVATE KEY-----
Base64-encoded private key
-----END RSA PRIVATE KEY-----

Carica il certificato

Carica il certificato eseguendo il comando AWS CLI upload-server-certificate simile al seguente:

$ aws iam upload-server-certificate --server-certificate-name YourCertificate --certificate-body file://Certificate.pem --certificate-chain file://CertificateChain.pem --private-key file://PrivateKey.pem

Nota:

Sostituisci i nomi dei file e YourCertificate con i nomi dei file e del certificato caricati.
È necessario specificare il prefisso "file://" nei parametri del corpo del certificato, della catena del certificato e della chiave privata nella richiesta API. Altrimenti, la richiesta fallisce con un messaggio di errore "MalformedCertificate: Unknown".

Dopo il caricamento del certificato, il comando AWS upload-server-certificate restituisce i metadati del certificato caricato, incluso il nome della risorsa Amazon (ARN), il nome descrittivo, l'identificatore (ID) e la data di scadenza del certificato.

Per visualizzare il certificato caricato, esegui il comando AWS CLI list-server-certificates:

aws iam list-server-certificates

**Nota:**Se carichi un certificato server da utilizzare con Amazon CloudFront, devi specificare un percorso utilizzando --path. Il percorso deve iniziare con /cloudfront e deve includere una barra finale, ad esempio /cloudfront/test/. Per ulteriori informazioni, consulta Come posso risolvere i problemi relativi all'utilizzo di un certificato SSL personalizzato per la mia distribuzione CloudFront?

Per eliminare il certificato, esegui il comando dell'interfaccia della linea di comando AWS delete-server-certificate in modo simile al seguente:

$ aws iam delete-server-certificate --server-certificate-name YourCertificate

Informazioni correlate

Servizi integrati con Gestione certificati AWS

Formato del certificato e della chiave per l'importazione

Argomenti

Sicurezza, identità e conformità

Tag

AWS Identity and Access Management

Lingua

Italiano

Video correlati

Guarda il video di Shree per saperne di più (6:36)

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come posso importare un certificato TLS/SSL rilasciato da terze parti in ACM?
AWS UFFICIALEAggiornata 2 anni fa
Come faccio a caricare i certificati SSL per il mio Classic Load Balancer per evitare che i clienti ricevano errori di "certificato non affidabile"?
AWS UFFICIALEAggiornata 10 mesi fa
Come posso creare un sistema di bilanciamento del carico Lightsail con un certificato SSL/TLS da utilizzare con le mie istanze Lightsail?
AWS UFFICIALEAggiornata 3 mesi fa
Come posso configurare un sistema di bilanciamento del carico in un ambiente AWS Elastic Beanstalk per utilizzare un certificato SSL?
AWS UFFICIALEAggiornata 3 anni fa